【恶意文件】QakBot被FBI联合执法-QakBot攻击事件分析

 初始攻击向量 —— PDF

VT平台首次上传样本的国家归属地为TR - 土耳其。

PDF打开后即如下所示。

Download对应的链接为：

https://inspiratour.co.id/tsopexfzrf/tsopexfzrf.zip

2. 中继文件 —— Zip

压缩包在用户自行解压释放后得到一个 WSF 文件，该脚本文件经过混淆。其主要功能是将混淆的脚本代码解混淆后写入到%PROGRAMDATA%目录下，随后加载并执行解混淆后的代码。

两个解混淆后的脚本文件如下所示，第一个脚本文件从多个IP下载后缀为dat的DLL文件用于执行。

第二个脚本文件则用于执行下载的DLL文件。

3. 最终投递 —— QBot

该DLL文件使用了GitHub项目Raptor，攻击者在Raptor项目的源码中插入了自己编写的恶意代码，在其中增加额外的名为print的导出函数，并随之一起编译为DLL文件。

攻击者在其代码中加入的大量的jmp指令和无用的条件跳转指令增加了指令块的数量，同时在其中插入垃圾指令和无用的API调用，在一定程度上增加了分析的时间。

Print函数的主要功能是将解密后的数据填充到新申请的内存块中，解密后得到一个完整的PE内存文件。

反射加载完成后，检测自身是否处于被调试状态。

采用异或流解密存储在内存中的数据，下图中前0x80字节即为key，使用key解密后面8字节的0x00分隔的加密数据。解密后即得到Unicode字符串：C:INTERNAL__empty。

通过控制传入的offset值，可以达到传入的key和加密数据相同的情况下解出不同的明文的目的。

检测是否有解密后的字符串指向的文件存在，Windows Defender在模拟文件执行时会有此路径产生，Qakbot在此用以规避Windows Defender的动态检测。

检测PEB的BeingDebugged标志位是否被置1，如果处于调试状态中则会使用xor将key和解密数据都破坏，致使后面的代码执行出现异常。

随后再次调用反射加载的DLL的导出函数，名称也为print。

在该函数中将继续利用上面提到的key和密文解密出字符串用于IAT表的填充，并将需要的函数指针填入全局变量中。QakBot通过对函数名称字符串进行计算然后再进行匹配、加载，在一定程度上躲避了杀毒软件的动态检测。

Sub_100095A0函数内部主动加载函数库并获取导出函数地址，填入IAT表。

此处被赋给全局变量的函数包含：

LoadLibraryA、RtlAllocateHeap、MessageBoxA、CreateCompatibleDC、NetShareEnum、SetFileSecurityW、StrStrIA、ShellExecuteW、GetUserProfileDirectoryW、WSAGetLastError

QakBot会对账号Sid、当前进程的Token进行校验，同时会提取磁盘大小、用户名称、DC名称、主机名称，组合成Unicode字符串后对每个字节进行计算(移位、xor)，得到32位的hash值。

QakBot会获取环境变量 SystemRoot、Temp、Userprofile、SystemDrive对应的具体路径，同时会解密出要探测的安全软件进程名称。

通过CreateToolhelp32Snapshot、Process32First、Process32Next组合对操作系统正在运行的进程名称进行枚举。

QakBot有两种工作方式，一种是通过创建傀儡进程，将主要的工作放置于傀儡进程中执行。另一种是在母体进程中执行主要工作，但二者执行的任务相同。

创建傀儡进程，通过两次Section Mapping将病毒自己创建的Section同时映射到自己进程的内存和wermgr进程的内存中。修改wermgr.exe的OEP并在其中创建用于执行的恶意代码。

傀儡进程所使用的导入函数加载方式和母体的加载方式基本一致。

傀儡进程会创建pipe管道，在创建cmd进程时将创建的pipe句柄传入，并传入命令ping -n 3 yahoo.com 。cmd进程执行后，傀儡进程通过读取pipe中存储的信息即可得到cmd命令执行后返回的信息。在确认cmd正确返回信息后，傀儡进程向母体进程创建的Event对象发送信号，母体在接收到信号后会结束等待继续向下执行，随后结束自己的运行。若母体在规定时间内尚未收到信号，则会主动结束傀儡进程，随后再结束自己的运行。

首先傀儡进程通过拼接得到 %Appdata%\Microsoft\Qhbido 字符串路径，确认没有该目录即创建一个该目录。傀儡进程会多次生成检测其在注册表Software\Microsoft\{\w*}下的键值是否存在，若不存在则创建一个并在其中填入data 和name。

傀儡进程在完成向多个白域名发送流量后（如google.com、Broadcom.com、irs.gov等），再向186.75.103.100发送https请求，以便后续进行远程控制。从内存中提取到QakBot可以通信的多个IP地址，均放置在文末。

1. 为本地和域账户设置强密码策略，定期更改账号密码。

2. 及时更新操作系统和软件，使用杀毒软件定期查杀。

打开未知文件前使用终端安全软件进行查杀。

【深信服统一端点安全管理系统aES】

已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，并接入深信服安全云脑，及时查杀新威胁；

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。